Pesquisadores da Cisco Talos identificaram uma nova campanha de ataques cibernéticos associada a um grupo ligado à China, conhecido como UAT-8099. A operação ocorreu entre o fim de 2025 e o início de 2026 e teve como alvo principal servidores Microsoft Internet Information Services (IIS) expostos à internet.
Além disso, os ataques se concentraram principalmente em países da Ásia, como Tailândia e Vietnã, embora o alcance total da campanha ainda não esteja completamente mapeado.
- Leia também: Spotify agora deixa você conversar em grupos; saiba como
- Leia também: Boletim ThreatsDay: Novas Execuções Remotas de Código, Apreensões na Darknet, Bugs no Kernel e Mais de 25 Outras Notícias
- Leia também: Google Maps vai usar o Gemini para ajudar em trajetos a pé ou pedalando: a nova era da navegação baseada em IA
Histórico do grupo e atividades anteriores
O grupo UAT-8099 não é novo. Em outubro de 2025, a Cisco Talos já havia documentado sua atuação em diversos países, incluindo Índia, Tailândia, Vietnã, Canadá e Brasil.
Naquela ocasião, os ataques tinham como objetivo a fraude de SEO, ou seja, a manipulação de resultados de busca para benefício financeiro. Para isso, os invasores usaram o malware BadIIS, instalado diretamente em servidores IIS comprometidos.
Além disso, analistas observaram semelhanças técnicas entre essa campanha e outra operação chamada WEBJACK, relatada por uma empresa de segurança da Finlândia em novembro de 2025. Essas similaridades envolvem ferramentas, infraestrutura de comando e controle e o perfil das vítimas.
Mudança de foco geográfico
Embora o malware tenha aparecido em servidores de vários países, a investigação mais recente mostrou um foco maior na Tailândia e no Vietnã.
Ao mesmo tempo, o grupo continua explorando sistemas localizados em regiões como Índia, Paquistão e Japão. Por isso, os pesquisadores acreditam que o grupo esteja adotando uma abordagem mais regionalizada, ajustando suas ferramentas conforme o idioma e o público-alvo.
Como os ataques começam
Os ataques normalmente se iniciam com a exploração de vulnerabilidades conhecidas ou configurações inseguras de upload de arquivos em servidores IIS.
Depois disso, os invasores instalam web shells, que permitem executar comandos remotamente. Em seguida, eles usam PowerShell para baixar e ativar outros componentes maliciosos.
Logo após o acesso inicial, o grupo coleta informações do sistema e passa a preparar o ambiente para manter o controle a longo prazo.
Ferramentas e técnicas usadas pelo UAT-8099
Durante a campanha, os atacantes utilizam várias ferramentas para garantir persistência e ocultação. Entre elas estão:
- SoftEther VPN, usado para criar túneis de acesso remoto.
- Criação de contas administrativas ocultas, como “admin$”, para manter privilégios elevados.
- Sharp4RemoveLog, que remove registros do Windows.
- CnCrypt Protect, que ajuda a ocultar arquivos maliciosos.
- OpenArk64, usado para encerrar processos de segurança.
- GotoHTTP, uma ferramenta de controle remoto ativada por scripts Visual Basic baixados via PowerShell.
Quando soluções de segurança bloqueiam a conta “admin$”, o grupo reage rapidamente. Nesse caso, os atacantes verificam o bloqueio e criam uma nova conta chamada “mysql$”. Além disso, eles configuram outras contas ocultas para reforçar a persistência.
Implantação do malware BadIIS
Depois de estabelecer o controle do servidor, o grupo instala o BadIIS.
Esse malware intercepta solicitações feitas ao servidor e analisa o tipo de visitante. Se identificar um rastreador de mecanismo de busca, o sistema redireciona o tráfego para sites usados em fraude de SEO.
Por outro lado, se o visitante for um usuário comum e o cabeçalho Accept-Language indicar idioma tailandês, o malware injeta código JavaScript malicioso nas páginas HTML. Esse código, então, redireciona o navegador da vítima para outros destinos.
Novas variantes adaptadas por região
A Cisco Talos identificou duas novas variantes regionais do BadIIS:
- BadIIS IISHijack, voltado especificamente para vítimas no Vietnã.
- BadIIS asdSearchEngine, direcionado a servidores na Tailândia ou a usuários com preferência linguística tailandesa.
Essa adaptação regional mostra que o grupo ajusta o malware conforme o perfil da vítima, o que aumenta a eficácia da fraude.
Três versões dentro do BadIIS asdSearchEngine
Os pesquisadores também identificaram três variantes distintas dentro do cluster BadIIS asdSearchEngine:
- Variante com múltiplas extensões exclusivas, que ignora certos tipos de arquivos para evitar falhas visuais nos sites.
- Variante baseada em templates HTML, que gera páginas dinâmicas usando modelos locais ou incorporados, substituindo dados por valores aleatórios e URLs específicas.
- Variante focada em páginas dinâmicas, como “default.aspx” e “index.php”, priorizando locais onde links de SEO têm maior impacto.
Segundo a Cisco Talos, essa terceira variante foi projetada para maximizar a eficácia da fraude sem gerar erros suspeitos nos registros do servidor.
Indícios de expansão para servidores Linux
Além dos ataques a servidores Windows, há sinais claros de que o grupo está desenvolvendo uma versão Linux do BadIIS.
Em outubro de 2025, um arquivo ELF foi enviado ao VirusTotal. Esse artefato incluía funções de proxy, injeção de conteúdo e fraude de SEO. Além disso, ele tinha como alvo rastreadores de busca do Google, Microsoft Bing e Yahoo!.
Esses indícios sugerem que o UAT-8099 pretende expandir suas operações para outras plataformas no futuro.
Fonte: The Hacker News —https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html
